Evidencia Digital

Investigación de la Escena del
Delito
Evidencia Digital
Instituto de Pericias Criminalísticas y
Capacitación “HANS GROSS”
Alonso E. Caballero Quezada
aka ReYDeS
Area de Sistemas de La Cámara de Comercio de La Libertad
Integrante del Grupo Peruano de Seguridad Informática SWP “Security
Wari Projects”
e-mail: ReYDeS @ gmail.com
WebPage: alonsocaballero.informatizate.net

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”
Evidencia Digital y crímenes por computadora:
Desde hace algunos años una nueva clase de
escenas criminales se han convertido en mas
relevantes. Crímenes cometidos dentro de los
dominios electrónicos o digitales, particularmente
dentro del ciberespacio.
Las agencias de justicia del mundo están
empezando a incrementar la lucha en la
investigación de crímenes realizados parcial o
enteramente en internet u otros medios
electrónicos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Los recursos y procedimientos son necesarios para
buscar, localizar y preservar todos los tipos de
evidencia electrónica.
Esta evidencia abarca desde imagenes de
pornografía infantil hasta datos cifrados utilizados
para una variedad de actividades criminales.
Algunas investigaciones no son de manera
primaria electrónicas, pero en algún punto los
archivos, datos pueden ser obtenidos y analizados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evidencia Digital:
La Evidencia Digital es definida como cualquier
tipo de dato almacenado o transmitido utilizando
una computadora que soporte o rechaze una teoría
de como una ofensa ocurrió o que direccione a
elementos críticos de la ofensa, como un intento o
coartada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evidencia Digital: (cont.)
El termino de evidencia digital y evidencia
electrónica es algunas veces utilizada de manera
similar. Sin embargo, se debe de hacer un esfuerzo
para distinguir entre dispositivos electrónicos
como un teléfono movil y los datos digitales que
ellos contienen. Cuando consideramos las muchas
fuentes de evidencia digital el útil categorizar
sistemas de computo en tres grupos:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Cómputo abierto; son los que la
mayoría de personas piensa que son
computadoras - estos sistemas abarcan, discos
duros, teclados, y monitores, como laptops, de
escritorio, y servidores que complen los
estándares. Estos sistemas siempre están
incrementando la cantidad de espacio de
almacenamiento, pueden ser ricos en recursos de
evidencia digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Cómputo abierto;

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Comunicación; Sistemas de teléfono
tradicional, sistemas de comunicación
inhalámbrica, internet, redes en general pueden
ser una fuente de evidencia digital. Internet
transmite mensajes de correo electrónico
alrededor del mundo. El momento en que un
mensaje fué enviado, quien lo envió, y que es lo
que el mensaje contenia puede ser del todo
importante en una investigación.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Comunicación;

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Cómputo adheridos; teléfonos móviles,
Asistentes Digitales Personales, tarjetas
inteligentes, o muchos otros sistemas con
computadoras incrustadas pueden contener
evidencia digital. Por ejemplo, sistemas de
navegación pueden ser utilizados para determinar
donde un vehículo estuvo, muchos vehículos que
manejan datos que pueden ser útiles para
entender accidentes.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* S istemas de Cómputo adheridos;

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Incrementado conocimientos sobre la evidencia
digital:
Es bien conocido que los abogados y policias están
encontrando progresivamente mas evidencia
digital en sus trabajos. Menos obvio, es que los
profesionales de seguridad en computadoras y
militares de alta jerarquía están relacionados con
la evidencia digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evidencia Digital:
digital: (cont.)
Es bien conocido que los abogados y policias están
encontrando progresivamente mas evidencia
digital en sus trabajos. Menos obvio, es que los
profesionales de seguridad en computadoras y
militares de alta jerarquía están relacionados con
la evidencia digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
digital: (cont.)
Ademas de manejar la evidencia adecuadamente,
las corporaciones y operadores militares necesitan
responder y recuperarse de los incidentes
rapidamente para minimizar las perdidas causadas
por un incidente.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
digital: (cont.)
Hay que tener en mente que los criminales
también están relacionados con la evidencia digital
y pueden intentar manipular los sistemas de
cómputo para evitar su captura. Sin embargo los
investigadores digitales no pueden simplemente
guiarse de la teoría para procesar evidencia digital,
se debe de extender las lecciones a nuevas
situaciones.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Aspectos desafiantes de la evidencia digital:
La evidencia digital como una forma de evidencia
física crea muchos retos. Es sucia, esta forma de
evidencia puede ser dificil de manejar. Por
ejemplo, los platos de un disco duro contienen una
amalgama de datos, piezas de información
mezcladas y apiladas. Solo una pequeña parte de
ello puede ser relevante en un caso, haciendo
necesario extraer partes útiles, juntarlas, y
convertirlas en una forma entendible.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Aspectos desafiantes de la evidencia digital: (cont)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Segundo, la evidencia digital es generalmente una
abstracción de algún evento u objeto digital.
Cuando una persona instruye a una computadora a
realizar una tarea, como enviar un correo
electrónico, el resultado de las actividades genera
datos remanentes que dan solo una visión parcial
de lo ocurrido.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tercero, el hecho de que la evidencia digital sea
manipulada facilmente acarrea nuevos retos para
los investigadores digitales. La evidencia digital
puede ser alterada ya sea maliciosamente por el
agresor o accidentalmente durante la recolección
sin dejar ningún signo obvio de distorción.
Afortunadametne la evidencia digital tiene algunas
características que pueden mitigar este problema:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* La evidencia digital puede ser duplicada
exactamente y una copia puede ser examinada
como si fuera la original. Esta es una práctica
común cuando se enfrenta con evidencia digital
examinar la copia, evitando el riesgo de dañar el
original.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* Con las herramientas adecuadas es muy fácil
determinar si la evidencia digital ha sido
modificada o se ha tratado de modificar
comparandolo con la copia original.
* La evidencia digital es dificil de destruir. Cuando
un archivo es "borrado" o el disco duro es
formateado, la evidencia digital puede ser
recuperada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
* Cuando los criminales intentan destruir la
evidencia digital, copias o remanentes asociados
pueden permanecer en lugares que no conocian.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Cuarto, la evidencia digital es usualmente
cirncunstancial, dificultando atribuir actividad de
cómputo a un individuo. Sin embargo la evidencia
digital puede ser solo un componente de una
sólida investigación.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
S iguiendo el rastro virtual:
Muchas personas creen que internet esta separado
del mundo físico. Este simplemente no es el caso,
los crimenes en internet son el reflejo de los
crimenes del mundo físico. Existen muchas
razones para ser cauto al respecto. Primero, un
crimen en internet usualmente refleja un crimen en
el mundo real con victimas y atacantes humanos y
deben de ser tratados con la misma gravedad.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
S iguiendo el rastro virtual: (cont.)
Segundo, mientras los criminales se sienten
seguros en internet, son observables y vulnerables.
Tenemos la oportunidad de descubrir crimenes en
el mundo físico que pueden no ser visible sin
internet. Asesinatos han sido identificados como
resultado de sus acciones en línea, pornografía
infantil descubierta en internet ha expuesto a los
abusadores de niños en el mundo físico, y repartos
de drogas son inicialemente iniciados en linea.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Internet puede contener evidencia de un crímen en
la cual no está directamente relacionado.
Además la evidencia en internet puede existir en
sistemas comerciales. (ATM, tarjetas de crédito,
tarjetas de débito), y redes privadas.
Las redes privadas usualemente contienen mayor
concentración de información digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Aspectos desafiantes del rastro virtual: (cont.)
La naturaleza dinámica y distribuida de las redes
hace dificil encontrar y recolectar evidencia digital
relevante. Los datos pueden estar esparcidos sobre
un grupo de construcciones, ciudades, estados o
hasta países. También el tráfico debe ser
capturado mientras está en tránsito. Una vez que
el tráfico de red es capturado, solo quedan copias
y los datos originales no están disponibles para ser
comparados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evidencia Digital:
Aspectos desafiantes del rastro virtual:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Ciencia Forense y evidencia digital:
La ciencia forense proporciona una gran estructura
para probar técnicas de investigación y métodos
para alcanzar sus objetivos.
Por Forense, entendemos una característica de la
evidencia que satisface su conveniencia de
admisión como hecho, y su habilidad para
persuadir basandose como prueba.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Ciencia Forense y evidencia digital: (cont.)
Estrictamente hablando, la ciencia forense es la
aplicación de la ciencia a las leyes y el ser utilizada
en una corte.
En la ciencia forense, ciertamente es una palabra
que debe ser utilizada con gran cuidado. No
podemos tener la certeza de lo que ha ocurrido en
una escena de un crímen cuando solo tenemos una
cantidad limitada de información.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Historia y terminología de investigación de
crimenes por computadora:
La obtención, preservación, y análisis de la
evidencia almacenada en una computadora es el
mas grande reto forense que enfrentan las fuerzas
legales. Sin embargo, muchas pruebas forenses,
tales como huellas, y pruebas de DNA, son
realizadas por expertos especialmente entrenados,
la tarea de recolectar y analizar evidencia de
cómputo es algunas veces asignada a oficiales y
detectives sin entrenamiento.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Breve historia de la investigación de crímenes por
computadora:
Respondiendo al crecimiento de los crímenes
relacionados a computadoras en los últimos años
diversas agencia a nivel mundial están empezando
a desarrollar entrenamientos e incrementar la
capacidad de enfrentar el problema. En los
siguientes años, se establecen grupos
especializados para investigar crímenes
relacionados a computadoras.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Breve historia de la investigación de crímenes por
computadora: (cont.)
El rápido desarrollo de la tecnología y los
crímenes relacionados a computadoras han creado
una necesidad de especialización; técnicos en la
escena del crímen digital quienes recolectan
evidencia digital, examinadores quienes procesan
la evidencia adquirida e investigadores digitales
quienes analizan toda la evidencia para construir
el caso.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evolución de las herramientas de investigación:
Tiempo atrás, en la investigación de los crímenes
por computadora, era común para los
investigadores digitales utilizar la computadora
con evidencia, para obtener evidencia. El riesgo de
esta acción era que operar la computadora con
evidencia podría alterar la evidencia de manera
indetectable.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Sin embargo programas como "dd" de Unix existia
en los años 80 y podían ser utilizados para
capturar datos borrados almacenados en un disco
duro, estas herramientas no fueron ampliamente
utilizadas y muchos análisis de evidencia digital en
dicho momento fueron realizados en nivel de
sistema de archivos descuidando los datos
borrados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
No fué hasta los años 90, donde herramientas
como SafeBack and DIBS fueron desarrollados para
permitir a los investigadores digitales recolectar
todos los datos de un disco de computadora, sin
alterar detalles importantes. Mucha gente tomo
importancia al cuidado de la evidencia de las
computadoras, y la necesidad de herramientas más
avanzadas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Herramientas integradas fueron desarrolladas para
facilitar el trabajo a los investigadores digitales.
Estas herramientas hacen más eficiente el examen,
automatizando tareas rutinarias, mostrando datos
en un entorno gráfico. Ahora se ha despertado un
interés por Linux como una plataforma para
examinar evidencia digital y herramientas como
SleuthKit han sido desarrolladas para proporcionar
un entorno amigable.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Hubo una evolución similar en la evolución de
herramientas para recolectar evidencia de sistemas
de comunicación. Herramientas de monitero de red
como "tcpdump" o "ethereal" pueden ser utilizados
para capturar tráfico de red, pero no están
especificamente diseñados para recolectar
evidencia digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Herramients comerciales como "Carnivore",
"NetIntercept", etc, han sido desarrolladas con
búsquedas integradas, visualización, y
características de análisis para ayudar a los
investigadores digitales extraer información del
tráfico de red.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Similarmente existe una evolución similar en la
evolución de herramientas para recolectar
evidencia en sistemas de cómputo incluidos. Es
común para los
investigadores digitales leer
datos de pagers, teléfonos
móviles y PDAs, directamente
desde los dispositivos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Lenguaje de la investigación de crímenes por
computadora
El movimiento hacia la estandarización de esta
área se torna más difícil por desacuerdo en la
terminología básica. Se han hecho intentos para
desarrollar un lenguaje estándar para describir los
diferente aspectos de la investigación de crímenes
por computadora. El desafío de décadas de
discusión, no hay un acuerdo general que haya
sido logrado sobre el significado del término mas
básico, crímen de computadora.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)
El término de cómputo forense también tiene
diferentes significados para diferentes personas.
Cómputo Forense usualmente se refiere a la
examinación de componentes de computadoras y
sus contenidos, como discos duros, discos
compactos, impresoras. Sín embargo el término es
también utilizado para describir la examinación
forense de todas las formas de evidencia digital,
incluyendo el transporte de los datos en una red.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)
El rol de la computadoras en el crímen:
Don Parker fué uno de los primeros en percibir el
desarrollo de los crimenes por computadora como
un serio problema en los 70 y jugó un un rol
importante estudiando la evolución por mas de
dos década. Propuso las siguientes cuatro
categorías, mientras se lee estas cuatro categorías,
note la ausencia de referencias a evidencia digital.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)
El rol de la computadoras en el crímen: (cont.)
- Una computadora puede se el objeto de un
crímen
- Una computadora puede ser el Sujeto de un
crímen
- Una computadora puede ser utilizado como una
herramienta para realizar o planear un crímen
- El símbolo de una computadora por sí mismo,
puede ser utilizada para intimidar o engañar

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)
En este contexto, hardware se refiere a todos los
componentes físicos, e información se refiere a los
datos y programas que son almacenados y
transmitidos utilizando una computadora. Estas
son las tres categorías finales que referencian a
dicha información a modo de evidencia digital:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
computadora (cont.)
El rol de la computadoras en el crímen:
- Hardware como contrabando o fruto de un
crímen
- Hardware como un instrumento
- Hardware como evidencia
- Información como contrabando o fruto de un
crímen
- Información como un instrumento
- Información como evidencia

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Dada la naturaleza intangible de la "propiedad
electrónica" y la ambiguidad legal alrededor de
actos maliciosos, no debe de sorprender el
encontrar estatutos enmendados que extienden las
leyes criminales para cubrir abusos por
computadoras. Muchas jurisdicciones, sin
embargo, adoptaron diferentes tácticas. Definieron
crímenes por computadora como un problema
legal único de tal modo que sea crea
un capítulo de crimenes de
computadora en los códigos
criminales.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Muchos crimenes por computadora pueden ser
direccionados utilizando leyes existentes.
Después de todo, son solo manifestaciones de
crímenes conocidos, la principal diferencia es que
la nueva tecnología esta relacionada. Sin embargo
internet crea nuevos retos que
requieren ediciones legales para
ser reconsiderados y que la
legislación sea enmendada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Descripción de las ofensas criminales:
Aunque la tecnología crea nuevos retos que
requieren nueva legislación, en algunos casos las
leyes ya existentes pueden ser aplicadas.
Para apreciar las diferencias entre las diferentes
ofensas criminales, es útil comparar las categorías
de ofensas:
->

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Descripción de las ofensas criminales: (cont.)
- Fraude y Falsificación
- Pornografía Infantil
- Uso inadecuado de computadoras
. Acceso no autorizado
. Facilitando la comisión de otros delitos
. Modificación no autorizada de material de
computadoras

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Búsqueda y Obtención:
Las autoridades pueden requerir que cualquier tipo
de información que está contenida en una
computadora y es accesible; parten de la premisa
que es esta es producida de una forma en la cual
puede ser tomada, siendo visible y legible;
teniendo argumentos para creer que:
->

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Búsqueda y Obtención: (cont.)
- La evidencia está en relación a una ofensa la
cual se está investigando o cualquier otra ofensa; o
- La evidencia ha sido obtenida como resultado de
la comisión de una ofensa.
- Que sea necesario hacerlo en un orden para
prevenir que sea cancelada, perdida, modificada o
destruida.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Jurisdicción y Extradición:
* Lugar:
La Prueba de jurisdicción en casos donde los
límites son transgredidos en la comisión de una
falta caen bajo el hecho de que haya un "enlace
significativo" con la jurisdicción local.
* Extradición
La extradición no garantiza que en el lugar donde
el agresor es requerido sea juzgado con las leyes
del estado donde se realizó la falta.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Penalidades:
En Reconocimiento al crecimiento del problema,
las penalidades para los crímenes relacionados a
computadoras están haciendose más severas. Por
ejemplo el ciertos países de Europa o US, se han
incrementado las penas para proteger a los niños
menores entre 3 a 10 años. Para el caso de
pornografía infantil; por ejemplo; se ha categorizado
el material dentro de cinco niveles:
Una corte puede seleccionar ciertos criterios los
cuales pueden agravar una ofensa en particular:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Penalidades: (cont.)
- Imágenes mostrando poses eróticas, sín
actividad sexual
- Actividad sexual entre niños o solo
masturbación de un niño
- Actividad sexual sin penetración entre adultos y
niños
- Actividad sexual con
penetración entre adultos
y niños
- Sadismo y bestialidad

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Penalidades: (cont.)
- Las imágenes han sido mostradas o distribuidas
a niños.
- Existen un gran número de imágenes.
- La manera de organizar una colección de
imágenes puede indicar un negocio de ellas.
- Imágenes enviadas a una área pública de la red.
- Si el agresor fué el responsable de la producción
original de imágenes, especialmente si los niños
son miembros de familia o forzados a través de la
posición del agresor; como un profesor.
- La edad del niño en cuestión.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Tecnología y Leyes
Privacidad:
No hay una definición clara de lo que constituye
privacidad o el derecho legal a la privacidad.
Lo que constituye protección de datos puede ser
facilmente respondida diciendo que es la
aplicación de los principios de
privacidad a la recolección,
retención, uso y exposición de
información sobre individuos,
especialmente en entornos
computarizados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
El proceso de investigación
El objetivo de una investigación es descubrir y
presentar la verdad. Cuando la evidencia es
presentada como verdad de una alegación, esto
puede impactar sobre si la persona es privada de
sus libertades, y de manera potencial si vive o
muere. Esta es una razón suficiente para utilizar
metodologías y tecnologías confiables para
asegurar que el
procesamiento, análisis
y reporte de la evidencia
es confiable y objetiva.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
El proceso de investigación es parte de una gran
metodología. El proceso de determinar si algo
inadecuado ha ocurrido y si las medidas de castigo
garantizan esta complejidad, van mas allá de los
pasos de investigación normalmente referenciados
como "forense".
Por Forense, entendemos una característica de la
evidencia que satisface la conveniencia de
admisión como hecho y su capacidad
de persuación basada en una prueba.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
El rol de la Evidencia Digital:
El objetivo en una investigación es atribuir el
crímen a su dueño, descubriendo enlaces entre el
agresor, la víctima, y la escena. Testigos pueden
ayudar, pero la evidencia relacionada con un
individuo es contundente y confiable. En el mundo
físico un agresor puede sín saber dejar algo en la
escena del crímen como huellas o cabellos. Con
una pieza de evidencia se puede demostrar la
posibilidad de que el agresor estuvo en la escena
del crímen. Con dos piezas de evidencia el enlace
entre el agresor y la escena del crímen se convierte
en mas fuerte y fácil de demostrar.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
El rol de la Evidencia Digital: (cont.)
Ejemplo en la Web . Si un individuo envia un
mensaje vía un sistema, como hotmail, su
navegador guarda datos, enlaces, y otra
información en el disco duro. Los investigadores
pueden hallar abundante información en el disco
duro del agresor, incluyendo el mensaje original.
Adicionalmente pueden encontrar información
relacionada al servidor web utilizado para enviar el
mensaje, registro de acceso, registro del correo
electrónico, direcciones IP, versión del navegador,
y posiblemente el mensaje completo en el folder
de envío de la cuenta de correo del agresor.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Para relacionar las categorías de evidencia de la
manera de forense "tradicional", equipos
tradicionales y sus atributos pueden ser
categorizados dentro de una clase y grupos
individuales. Escáners, impresoras, y dispositivos
de oficina multiuso pueden exhibir o dejar detalles
que permitan dar con una clase de características
comunes, permitiendo la identificación de una
Epson, Canon, o Lexmark. Así mismo marcas
únicas en fotografías digitalizadas pueden ser
utilizadas para demostrar que el escáner o la
cámara digital del sospechoso estuvo involucrada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Metodología de Investigación:
El proceso de investigación está estructurada para
ser completa, rigurosa, y de esta manera asegure
el manejo apropiado de la evidencia, y minimizar
la posibilidad de errores creados por teorías
preconcebidas y otros desatinos. Este proceso se
aplica a la investigación criminal, así también
abarca investigación militar
y corporativa con violaciones
a las políticas o
sistemas comprometidos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Metodología de Investigación: (cont.)
Dos temas son vitales. Primero, el manejo del caso
juega un rol importante. Proporciona estabilidad y
permite a los investigadores atar adecuadamente
toda la información, permitiendo que la historia
sea lo más clara posible. S egundo, la fase de
análisis de la investigación se inicia con el proceso
de obtener y validar, procediendo a la formación
de la hipótesis y pruebas, buscando activamente,
evidencia que desapruebe la hipótesis, y revisando
las conclusiones conforme nueva evidencia
aparesca.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
En general, este modelo proporciona a los
investigadores y examinadores un flujo lógico de
eventos que, reuniéndolos, búscan proporcionar:
- Aceptación; los pasos y métodos tienen que
haber ganado concenso profesional
- Confiabilidad; Los métodos empleados pueden
ser probados (veracidad), para dar soporte a los
hallazgos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Repetibilidad; El proceso puede ser aplicado por
todos, independientemente del tiempo y lugar.
- Integridad; El estado de la evidencia esta
probado (veracidad) estas sin alteración.
- Causa y efecto; Conexiones lógicas entre
individuos sospechosos, eventos y muestras.
- Documentación; Registrar lo esencial para el
testimonio de la evidencia (testimonio experto).

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Los anteriores seis puntos tienen un propósito en
común, el de dar formaa al mejor argumento
persuasivo posible basado en hechos, no
suposiciones, y hacer lo que es considerado en el
criterio legal como admisibilidad.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Base de computadoras para investigación digital
Los investigadores digitales pueden utilizar
software sofisticado para recuperar archivos
borrados y realizar análisis avanzados de discos
duros, es inportante entender lo que ocurre entre
escenas. Por ejemplo, cuando se recupera
directorios eliminados, existe la posibilidad de que
dos directorios borrados ocuparan el mismo
espacio en diferentes momentos. Adicionalmente
cada herramienta tiene sus limitaciones que un
investigador digital competente debe de
reconocer.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Operación básica de una computadora:
Cada vez que una computadora es encendida, se
debe de estar familiarizado con los componentes
internos y los periféricos. El proceso de
inicialización en llamado el proceso de arranque. El
proceso de arranque tiene tres fases: Reasignación
del CPU (Central Processing Unit), el POST (Powe-
On Self Test), y el disco de arranque.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Operación básica de una computadora: (cont.)
- Unidad Central de Procesamiento: (CPU)
El CPU es el corazón de una computadora. Todo
depende de la habilidad del CPU para procesar
instrucciones que recepciona. Así la primera etapa
en el proceso de arranque es inicializar el CPU -
resetearlo con un pulso eléctrico. Una vez que el
CPU es reseteado se inicia el BIOS.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Sistema Básico de Entrada / Salida (BIOS)
Cada programa de computadora utiliza el BIOS
para comunicarse con el CPU. Algunos programas
BIOS permiten a un individuo configurar una
contraseña y hasta que
la contraseña no sea
escrita, no podría
ejecutarse el BIOS y no
funcionaría la computadora.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Power-On Self Test (POST) y CMOS.
El BIOS contiene un programa llamado (POST) que
prueba los componentes fundamentales de una
computadora. Cuando el CPU activa primero el
BIOS, el programa POST es iniciado. Para estar
seguro, la primera prueba verifica la integridad del
CPU y el programa POST mismo. El resto del POST
verifica que todos los componentes de la
computadora funcionen adecuadamente,
incluyendo el disk drive, monitor, RAM, teclado.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Disco de arranque
Un Sistema Operativo extiende las funciones del
BIOS, y actúa como una interface entre una
computadora y el mundo exterior. Sín un sistema
Operativo sería muy dificil interactuar con una
computadora, los comando básicos no estarían
disponibles, los datos no podrían estar ordenados
en archivos y carpetas, y el software podría no ser
ejecutado en la máquina.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Representación de Datos:
Todos los datos son basicamente combinaciones
de 1 y 0, llamados bits. Es necesario para los
investigadores digitales relacionarse con los datos
a nivel de bits, requiriendo un conocimiento de
como los diferentes sistemas representan datos.
Por ejemplo el número 511
es representado como:
00000001 11111111

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Representación de Datos: (cont.)
La representación binaria de los datos (unos y
ceros) es algunas veces incómoda. En lugar de ello,
los investigadores digitales pueden visualizar la
representación hexadecimal de los datos. Otra
representación de datos comunmente utilizada es
ASCII. El estándard ASCII especifica una
determinada combinación de unos y ceros,
representando ciertas letras y números.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Representación de Datos: (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Medios de almacenamiento y ocultamiento de datos
Cada elemento de datos es implementado
utilizando algún dispositivo físico que pueda estar
en uno de dos estados: en un chip de memoria por
ejemplo; un transistor puede estar encendido o
apagado; en una línea de comunicación, un pulso
puede estar presente o ausente en un lugar
particular y en un momento particular; en un disco
magnético, un dominio magnético puede estár
magnetizado a una polaridad o a la otra; y en un
disco compacto un hoyo puede estar presente o no
en un lugar específico.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Medios de almacenamiento y ocultamiento de
datos: (cont.)
Aunque los medio de almacenamiento vienen en
una diversidad de formas, los discos duros son la
fuente más rica de evidencia digital en
computadoras. Máquinas fotocopiadoras modernas
tienen discos duros y pueden ser incrementadas
por controladores de conexión externa con CPU,
RAM, y discos duros de gran capacidad, para
realizar impresiones más complejas rapidamente.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)
Discos IDE (Integrated Disk Electronics), ATA
(Advanced Technology Attachment), y SCSI.
Dejando a un lado la tecnología utilizada, todos los
discos duros contienen platos giratorios, hechos
de un material ligero y rígido como el aluminio,
cerámica, o vidrio. Estos platos tienen una
recubierta magnética en ambos lados y giran entre
una par de cabezales de lectura/escritura; un
cabezal a cada lado del plato.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)
Estos cabezales , se mueven sobre los platos, pero
flotando sobre la superficie del plato giratorio en
un amortiguador de aire creado por la rotación del
disco, pudiendo alinear partículas del medio
magnético (llamado escritura), y además
detectando como las particulas del plato están
alineadas (llamado lectura). Particulas alineadas de
una manera (1) y de otra manera (0)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)
Los datos son registrados en el plato en círculos
concéntricos; llamadas pistas. El término cilindro
es sinónimo de pista, colectivamente refiriéndose a
pistas con el mismo radio sobre todos los platos
en un disco duro. Cada plato puede ser dividido
en sectores, que usualmente almacenan 512 bytes
de información (512 x 8 unos y ceros). Muchos
sistema de archivos utilizan dos o más sectores,
llamados clusters, como la unidad básica de
almacenamiento en un disco.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)
La localización de un dato en el disco puede ser
determinada por el cilindro en el cual está, cual
cabezal puede accesarlo, y cual sector lo contiene;
esto es denominado direccionamiento CHS. Sín
embargo, la capacidad de un disco duro puede ser
calculado multiplicando el número de cilindros,
cabezales, y sectores de 512 bytes. El número de
cilíndros, cabezales, y sectores por pista están
algunas veces impresos en la superficie del disco
duro.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
datos: (cont.)
Y la capacidad calculada (CxHxSx512 bytes) puede
ser comparada con la cantidad de datos extraidos
del disco duro para asegurar que toda la evidencia
ha sido obtenida.
Por ejemplo, un disco duro con 1024 cilíndros,
256 cabezales, y 63 sectores contiene
8455716864 bytes (1024x256x63x512 bytes).
Esto equivale a 8.4 Gbytes (8455716864 bytes /
1024 bytes / 1024 bytes) donde 1 Gbyte puede
contener un billón de caracteres.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
S istema de Archivos y localización de datos:
Sistemas de Archivos como FAT16, FAT32, NTFS,
HFS (Macintosh), Ext2 (Linux), mantienen la pista
de donde los datos son localizados en el disco,
proporcionando el archivo familiar y la estructura
de carpetas. Antes de que el sistema de archivos
pueda ser creado, una partición debe ser creada
para especificar cual es la cantidad del disco duro
que ocupará. El primer sector del disco duro
contiene el MBR (Master Boot Record), que contiene
la tabla de partición que le indica al sistema
operativo como el disco está dividido.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
S istema de Archivos y localización de datos: (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
La tabla de partición especifica el primer y el
último sector de cada partición, también
información adicional sobre la partición. El ejemplo
más simple de crear o visualizar la partición es
utilizando el comando fdisk.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Una vez que la partición es creada, esta puede ser
formateada con cualquier sistema de archivos. Por
ejemplo un Sistema de archivos FAT que puede ser
creado con el comando format en Windows. El área
ocupada por el sistema de archivos es denominado
Volumen, al cual se le asigna una letra como C: por
el sistema operativo. Contrariamente a la creencia
popular el comando format, no borra los datos el
volumen, es posible recuperar datos del disco duro
después de que ha sido formateado.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Existen muchas características de un sistema de
archivos que pueden ser de utilidad desde el punto
de vista de recuperación. Cuando un archivo ocupa
menos que un cluster, otros archivos pueden no
utilizar el espacio adicional en el cluster. Es decir,
una vez que un cluster contiene datos, el cluster
entero es reservado Los sectores extra en el cluster
son denominados espacio "slack".

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Cuando un archivo es borrado, su entrada en el
sistema de archivos es actualizado para indicar su
estado de borrado, y los clusters que han sido
previamente asignados para almacenamiento son
desasignados y pueden ser utilizados para
almacenar un nuevo archivo. Sin embargo los
datos residen en el disco y existe la posibilidad de
recuperar archivos inmediatamente después de
haber sido borrados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Los datos pueden residir en el disco hasta que un
nuevo archivo lo sobre escriba. Sin embargo sin
un nuevo archivo no ocupa todo el cluster, una
porción del antiguo archivo puede residir en el
espacio "slack". En este caso una porción del
archivo puede ser obtenido mucho después de que
haya sido borrado y parcialmente sobre escrito.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Descripción de Cifrado:
Cifrado es el proceso por el cual un objeto digital
legible (texto plano) es convertido en un objeto
digital ilegible (texto cifrado), utilizando funciones
matemáticas. Esquemas de cifrado robustas
utilizan el equivalente a una contraseña,
denominada "clave". Sin embargo hay más simples,
como sistemas de codificación sin clave. Por
ejemplo, ROT13 es un código simple que
reemplaza cada letra del mensaje de texto plano,
con una letra que está adelantada 13 posiciones en
el alfabeto (A hasta la Z), Así, A se conviernte en N.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Descripción de Cifrado: (cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Cifrado de clave Privada:
(cifrado de clave simétrica) La clave es utilizada
para cifrar y descifrar el mensaje. Debido a que no
hay secreto sobre las funciones matemáticas
utilizadas para cifrar datos, muchos esquemas de
cifrado utilizan funciones matemáticas que son
difíciles de revertir. De esta manera, si se conoce la
función matemática, sea difícil de descifrar datos
sín conocer la clave. Algunas algoritmos de cifrado
de clave simétrica son DES, IDEA, y blowfish.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Cifrado de clave Privada:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Cifrado de clave Pública:
La respuesta a esto es El cifrado de clave pública,
se desarrolló un mecanismo que permetía a un
individuo repartir una pieza de información
llamada clave pública que cualquiera puede utilizar
para cifrar el mensaje y solo el receptor del
mensaje quien posea la clave privada puede
descifrar el mensaje. Dos algoritmos de clave
pública comunmente utilizados son RSA y DSA.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Cifrado de clave Pública:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Aplicando la Ciencia Forense a las Computadoras
Examinar evidencia digital es como cortar un
diamante. Removiendo material innecesario, la
claridad del cristal es revelada. El diamante es
entonces pulido para permitir a otros apreciarlo.
Similarmente, los examinadores de evidencia
digital extraen valiosos bits de grandes cantidades
de datos y la presentan de una manera en que los
jueces puedan comprenderla.
Los investigadores digitales realizan todas las
tareas requeridas de recolectar, documentar y
preservar la evidencia digital para extraer datos
útiles y combinarlos para tener una idea clara de
como ocurrió un crímen.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Autorización y Preparación:
Antes de acercarse a la evidencia digital, hay
algunas cosas a considerar. Una puede ser la
certeza de que la búsqueda no viola las leyes en
ningun sentido.
Los profesionales en seguridad de computadoras
deben obtener instrucciones y autorización escrita
de los abogados antes de obtener evidencia digital
relacionada a una investigación dentro de la
organización.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Autorización y Preparación: (cont.)
Los investigadores digitales están generalmente
autorizados para recolectar y examinar solo lo que
es directamente pertinente a la investigación.
Cuando se crea una una declaración jurada de una
búsqueda con garantía, es recomendable describir
como la búsqueda fué realizada. Por ejemplo, si
Hardware tiene que ser obtenido, debe ser anotado
y explicado el porque es necesario realizar una
examinación fuera del lugar, para protegerse de
críticas de obtener Hardware sin autorización.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Identificación:
Identificación de la evidencia digital es un proceso
de dos pasos. Primero, los investigadores digitales
tienen que reconocer el Hardware (Computadora,
floppy disk, cables de red, etc.) que contiene
información digital. Segundo, los investigadores
digitales deben ser capaces de destinguir entre
información irrelevante y datos digitales que
puedan establecer que un crímen ha sido realizado
o pueda proporcionar un enlace entre un crímen y
su víctima o un crímen y su perpetrador.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Identificación: (cont.)
- Identificando hardware:
Existen muchos productos computarizados que
pueden manejar evidencia digital como, teléfonos,
laptops, pcs de escritorio, servidores, mainframes,
routers, cortafuegos, y otros dispositivos de red.
Existen tambíen muchas formas de medios de
almacenamiento inluyendo discos compactos,
floppy disks, cintas magnéticas, memory sticks,
dispositivos USB.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Identificando hardware:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Identificando evidencia digital:
Diferentes crímenes dan como resultado diferente
tipo de evidencia digital. Por ejemplo acosadores
virtuales utilizan el correo electrónico para asustar
a sus víctimas, crackers de computadoras, algunas
veces dejan inadvertidamente evidencia de sus
actividades en archivos de registro, y pornógrafos
infantiles almacenan imágenes digitalizadas en sus
computadoras.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Documentación:
La documentación es esencial en todas las fases
del manejo y procesamiento de la evidencia
digital. El documentar quién recolectó y manipuló
la evidencia en un momento dado es requerido
para mentener una cadena de custodia. Esto no es
inusual para cada individuo quién manipula piezas
de evidencia importante para ser examinado.
Así, el cuidado debe ser hecho de cuando la
evidencia fué recolectada, desde donde, y por
quién.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Documentación: (cont.)
Adicionalmente valores MD5 de los archivos
originales deben de ser anotados antes de
copiarlos. Si la evidencia es pobremente
documentada, un abogado puede facilmente poner
en duda las habilidades de los involucrados, y
convencer a la corte de no aceptar la evidencia.
Cuando múltiples resintos y computadoras están
involucradas, asignar letras a cada resinto y
número a cada fuente de evidencia digital puede
ayudar a seguir la pista.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Resúmen de Mensaje y Firmas Digitales:
Un algorítmo de resúmen de mensaje siempre
produce el mismo número para una entrada dada.
También debe de producir diferentes números
para diferentes entradas. Es por ello que, una
copia exacta debe tener el mismo resúmen de
mensaje del original, pero si un archivo es
modificado, se obtendrá un mensaje diferente al
original.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
El Algorítmo MD5 toma como entrada un mensaje
o longitud arbitraria y produce una salida de una
huella de 128 bits o "resúmen de mensaje" de la
entrada.
Por ejemplo computar el valor MD5 de un disco
antes de la recolección, y nuevamente después de
la recolección, esto demuestra que el proceso de
recolección no modificó los datos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Resúmen de mensaje puede ser utilizado para
buscar en el disco por un archivo en específico, un
valor MD5 puede indicar que un archivo es
identico, así los nombres sean diferentes.
Firmas digitales proporcionan otro mecanismo de
documentar evidencia digital combinando un
resúmen de mensaje de un objeto digital con
información adicional como la fecha actual.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Recolección y Preservación:
Una vez identificada, la evidencia digital debe de
ser preservada de tal manera que pueda ser más
adelante autenticada. Uno de los aspectos clave de
preservación de la evidencia digital es recolectarla
de manera que no sea alterada. Antes de
considerar lo que la computadora contiene, el
exterior de la computadora debe de ser revisado
por huellas, y el contenido de la pantalla debe de
ser fotografiado. Puede ser sugerido el comprobar
el dia y hora del sistema para una mayor presición.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Recolección y Preservación: (cont.)
- Recolectando y Preservando Hardware
Existen dos factores competentes para considerar
cuando se recolecta Hardware. De primera mano,
para evitar dejar cualquier evidencia relevante, un
investigador digital debe tomar cada pieza del
equipo encontrado. De otra manera, el
investigador digital puede tomar solo lo esencial
para ahorrar tiempo, esfuerzo y recursos, y reducir
el riesgo de ser demandado por molestar la vida de
una persona o empresa mas de lo absolutamente
necesario.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Recolectando y Preservando Evidencia Digital
Con evidencia digital, el enfoque es sobre el
contenido de la computadora, opuesto al
Hardware. Existen dos opiniones cuando se
recolecta evidencia digital, copiar la información
necesaria o copiar todo. Si algo rápido es necesario
o si solo una parte de la evidencia digital es de
interés, es más práctico solo tomar la información
requerida, sin embargo, si existe abundancia de
evidencia en una computadora, tiene sentido
copiar todo el contenido y examinar con cuidado.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Existe también un riesgo de que el sistema haya
sido modificado para destruir evidencia (un rootkit)
y evidencia valiosa puede estar perdida.
En la mayoría de casos, es requerido adquirir el
contenido completo de un disco debido a que los
investigadores digitales raramente conocen lo que
exactamente un disco contiene.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)
Antes de copiar los datos del disco, es aconsejable
calcular el valor MD5 del disco original, este valor
hash puede ser comparado con las copias para
demostrar que son identicas. (imágen forense).
Una copia de flujo de bits (bitstream) duplica todo
lo que hay en un cluster, incluyendo todo el
espacio "slack" y otras áreas del disco fuera de ll
alcance del sistema de archivos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
(cont.)

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Examinación y Análisis:
La Examinación involucra preparar la evidencia
digital para facilitar la fase de análisis. La
naturaleza y extensión de la examinación de la
evidencia digital depende del conocimiento de las
circunstancias de un crímen y la responsabilidad
puesta en el investigador digital.
En algunas circunstancias, los
investigadores digitales son
requeridos de realizar un exámen
en el lugar bajo presión de tiempo.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Examinación y Análisis: (cont.)
- Filtrado y Reducción
Antes de ir al análisis de la evidencia digital, una
reducción de datos debe estar garantizada. Con la
reducción de costos de almacenamiento de datos y
el incremento de volúmen de archivos comerciales
en sistemas operativos y software de aplicación,
los investigadores digitales pueden ser abrumados
facilmente por el número de archivos contenidos
en un disco duro o dispositivos de backups. Para
evitar ello se puede seguir el siguiente
procedimiento:

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Filtrado y Reducción (cont.)
. Eliminar archivos del sistema válidos, u otras
entidades conocidas que no tienen relevancia para
la investigación.
. Enfocar una investigación de los más probables
datos creados por el usuario.
. Manipular archivos redundantes, lo cual es
particularmente útil cuando se tienen backups.
. Identificar discrepancias entre herramientas de
examinación de evidencia digital, como archivos
faltantes y errores en calculo de MD5.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Características de Clases / Individual y
Evaluación de Fuentes
Dos preguntas fundamentales son necesarias de
ser tratadas cuando se examina una pieza de
evidencia digital, lo que es (clasificación /
identificación) y de donde proviene (evaluación de
la fuente). El proceso de identificación involucra,
clasificación de objetos digitales basado en
características similares llamadas clases de
características.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Evaluación de Fuentes (cont.)
Es útil formalizar las diferentes formas en que
una pieza de evidencia puede ser relacionada con
una fuente. A continuación se muestra una tabla
que detalla dichas relaciones y que no son
mutuamente exclusivas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Producción / Fuente que produce la evidencia /
Archivos tar comprimidos, imágnes creadas en una
cámara digital
S egmento / La fuente es dividida en partes y las
partes del todo estan dispersos. / Fragmentos de
un documento word encontrado en espacio sin
asignar.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Alteración / La fuentes es un agente o proceso que
altera o modifica la evidencia. / Photoshop
utilizado para cambiar imágenes.
Localización / La fuente es un punto en el espacio.
/ Fotografías digitales muestran una porción de
una cama o mueble.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Recuperación de Datos / Salvación
En general, cuando un archivo es borrado, los
datos contenidos quedan en el disco por un
tiempo y pueden ser recuperados. Los detalles de
la recuperación y reestructuración de evidencia
digital depende del tipo de datos, su condición, el
sistema operativo que ejecuta,
el tipo de hardware y software,
y sus configuraciones.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Recuperación de Datos / Salvación (cont.)
Tales recuperaciones son mas fáciles para tipos de
archivos que tienen componentes entendibles
para humanos, tales como un documento en Word,
debido a que un individuo
puede algunas veces inferir
el orden y la importancia de
cada componente.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Recuperación de Datos / Salvación (cont.)
Existen también archivos binarios en una
computadora que contienen grandes cantidades de
información. Por ejemplo, muchos sistemas
operativos y programas de computadora utilizan
un archivo "swap", para almacenar información
temporal mientras esta no es utilizada.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reconstrucción :
La investigación de reconstrucción proporciona un
cuadro completo de un crímen, lo que ocurrió,
quién causo los eventos, donde, como, y porque.
Los tres tipos fundamentales de reconstrucción,
son temporal, relacional, y funcional.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reconstrucción: (cont.)
- Análisis Funcional: En un investigación, existen
razones para conocer el funcionamiento
. Para determinar si el individuo o computadora es
capaz de realizar acciones necesarias del crímen.
. Para tener un mejor entendimiento de una pieza
digital de evidencia o un crímen en su totalidad.
. Para probar que la evidencia se trató de forzar.
. Para tener un entendimiento del agresor y sus
motivaciones.
. Para determinar el adecuado trabajo del sistema
durante un periodo relevante de tiempo

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Análisis Relacional
En un esfuerzo para determinar relaciones entre
sospechosos, víctimas, y escena del crímen, puede
ser útil crear nodos que representan lugares que
se conocen, direcciones de correo eletrónico,
direcciones IP utilizadas, transacciones financieras,
números telefónicos marcados, etc, y determinar si
hay conexiones significativas entre los nodos.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
- Análisis Temporal
Cuando se investiga un crímen, se debe conocer el
tiempo y la secuencia de los eventos.
Afortunadamente, además de almacenar,
recuperar, manipular, y transmitir datos, las
computadoras dan cuenta del tiempo. Por ejemplo,
muchos sistemas operativos, mantienen pistas de
creación, última modificación, y tiempos de acceso
de archivos y carpetas.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reportando:
La última fase de la examinación de la evidencia
digital consiste en integrar todos los hallazgos y
conclusiones en un reporte final que muestre, los
hallazgos a otra información, que el examinador
pueda presentar en la corte.
Escribir un reporte es una de las fases importantes
del proceso debido a que será la visión completa
de otras personas sobre el proceso.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reportando: (cont.)
- Introducción: número de caso, quién solicito el
reporte buscado, quién escribió el reporte, cuando,
y que se halló.
- S umario de la Evidencia: sumarizar que evidencia
fué examinada y cuando, valores MD5, número de
entrega al laboratorio, cuando y donde la evidencia
fué obtenida, de quién y su condición.
- S umario de Examinación: Sumarizar las
herramientas para realizar el exámen, como los
datos importantes fueron recuperados, y como los
datos irrelevantes fueron eliminados.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reportando: (cont.)
- Examinación del S istema de Archivos: inventario de
los archivos importantes, directorios, datos
recuperados que son relevantes a la investigación
con importantes características como ruta,
nombre, fecha y hora, valor MD5, y sectores físicos
de localización en el disco.
- Análisis: describe e interpreta análisis temporal,
funcional y relacional, así como otros análisis
realizados, tales como la evaluación de la fuente.
- Conclusiones: sumario de conclusiones debe
seguir logicamente a las secciones previas en el
reporte y debe referenciar la evidencia.

A
L
O
N
S
O
C
A
B
A
L
L
E
R
O
-
R
e
Y
D
e
S
-
Reportando: (cont.)
- Glosario de terminos: explicación sobre terminos
técnicos utilizados en el reporte.
- Apéndice de objetos expuestos de soporte:
evidencia digital utilizada para llegar a las
conclusiones, claramente numeradas para fácil
referencia.
<->

Muchas Gracias por su
atención
Alonso E. Caballero Quezada
aka ReYDeS
Area de Sistemas de La Cámara de Comercio de La Libertad
Integrante del Grupo Peruano de Seguridad Informática SWP “Security
Wari Projects”
e-mail: ReYDeS @ gmail.com
WebPage: alonsocaballero.informatizate.net

Evidencia Digital

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Evidencia Digital

Ähnlich wie Evidencia Digital (20)

Mehr von Alonso Caballero

Mehr von Alonso Caballero (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Evidencia Digital